Бюллетень по обновлениям Pixel – март 2023 г.

Опубликовано 6 марта 2023 г. | Обновлено 20 марта 2023 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Все проблемы устройств Google, перечисленные здесь и в бюллетене по безопасности Android за март 2023 года, устранены в исправлении 2023-03-01 и более новых. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

Исправление системы безопасности 2023-03-01 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.

Объявления

  • Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за март 2023 года, обновления для устройств Google содержат также исправления проблем, перечисленных ниже.

Исправления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2023-21000 A-194783918 RCE Средний 13
CVE-2022-20532 A-232242894 EoP Средний 13
CVE-2022-20542 A-238083570 EoP Средний 13
CVE-2023-21017 A-236687884 EoP Средний 13
CVE-2023-21028 A-180680572 ID Средний 13
CVE-2023-21029 A-217934898 ID Средний 13
CVE-2023-20996 A-246749764 DoS Средний 13
CVE-2023-20997 A-246749702 DoS Средний 13
CVE-2023-20998 A-246749936 DoS Средний 13
CVE-2023-20999 A-246750467 DoS Средний 13
CVE-2023-21026 A-254681548 DoS Средний 13

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2023-20994 A-259062118 EoP Средний 13
CVE-2023-20995 A-241910279 EoP Средний 13
CVE-2023-21001 A-237672190 EoP Средний 13
CVE-2023-21002 A-261193935 EoP Средний 13
CVE-2023-21003 A-261193711 EoP Средний 13
CVE-2023-21004 A-261193664 EoP Средний 13
CVE-2023-21005 A-261193946 EoP Средний 13
CVE-2023-21015 A-244569778 EoP Средний 13
CVE-2023-21018 A-233338564 EoP Средний 13
CVE-2023-21020 A-256591441 EoP Средний 13
CVE-2023-21021 A-255537598 EoP Средний 13
CVE-2023-21022 A-236098131 EoP Средний 13
CVE-2023-21024 A-246543238 EoP Средний 13
CVE-2023-21030 A-226234140 EoP Средний 13
CVE-2023-21034 A-230358834 EoP Средний 13
CVE-2023-21035 A-184847040 EoP Средний 13
CVE-2022-40303 A-260709824 ID Средний 13
CVE-2023-20969 A-262236313 ID Средний 13
CVE-2023-20970 A-262236005 ID Средний 13
CVE-2023-21006 A-257030027 ID Средний 13
CVE-2023-21007 A-257029965 ID Средний 13
CVE-2023-21008 A-257030100 ID Средний 13
CVE-2023-21009 A-257029925 ID Средний 13
CVE-2023-21010 A-257029915 ID Средний 13
CVE-2023-21011 A-257029912 ID Средний 13
CVE-2023-21012 A-257029812 ID Средний 13
CVE-2023-21013 A-256818945 ID Средний 13
CVE-2023-21014 A-257029326 ID Средний 13
CVE-2023-21019 A-242379731 ID Средний 13
CVE-2023-21025 A-254929746 ID Средний 13
CVE-2023-21032 A-248085351 ID Средний 13
CVE-2023-21016 A-213905884 DoS Средний 13
CVE-2023-21033 A-244713323 DoS Средний 13

Pixel

CVE Ссылки Тип Уровень серьезности Подкомпонент
CVE-2022-42498 A-240662453 * RCE Критический Встроенное ПО для мобильной связи
CVE-2022-42499 A-242001391 * RCE Критический Модем
CVE-2023-21057 A-244450646 * RCE Критический Встроенное ПО для мобильной связи
CVE-2023-21058 A-246169606 * RCE Критический Встроенное ПО для мобильной связи
CVE-2023-24033 A-265822830 * RCE Критический Модем
CVE-2023-26496 A-274465028 * RCE Критический Модем
CVE-2023-26497 A-274464337 * RCE Критический Модем
CVE-2023-26498 A-274463883 * RCE Критический Модем
CVE-2023-21041 A-250123688 * EoP Критический GSC
CVE-2022-42528 A-242203672 * ID Критический TF-A
CVE-2023-21054 A-244556535 * RCE Высокий Модем
CVE-2023-21040 A-238420277 * EoP Высокий Bluetooth
CVE-2023-21065 A-239630493 * EoP Высокий libfdt
CVE-2023-21036 A-264261868 * ID Высокий Markup
CVE-2023-21067 A-254114726 * ID Высокий GPS
CVE-2022-42500 A-239701389 * EoP Средний Телефонная связь
CVE-2023-21038 A-224000736 * EoP Средний Драйвер CS40L25 для тактильной обратной связи
CVE-2023-21042 A-239873326 * EoP Средний LWIS
CVE-2023-21043 A-239872581 * EoP Средний LWIS
CVE-2023-21050 A-244423702 * EoP Средний libexynosdisplay
CVE-2023-21051 A-259323322 * EoP Средний exynos
CVE-2023-21052 A-259063189 * EoP Средний libril_sitril
CVE-2023-21055 A-244301523 * EoP Средний cpif
CVE-2023-21056 A-245300559 * EoP Средний LWIS
CVE-2023-21062 A-243376770 * EoP Средний rild_exynos
CVE-2023-21063 A-243129862 * EoP Средний rild_exynos
CVE-2023-21064 A-243130078 * EoP Средний rild_exynos
CVE-2023-21068 A-243433344 * EoP Средний Экран режима быстрой загрузки (Fastboot mode)
CVE-2023-21069 A-254029309 * EoP Средний Драйвер bcm4389
CVE-2023-21070 A-254028776 * EoP Средний Драйвер bcm4389
CVE-2023-21071 A-254028518 * EoP Средний Драйвер bcm4389
CVE-2023-21072 A-257290781 * EoP Средний Драйвер bcm4389
CVE-2023-21073 A-257290396 * EoP Средний Драйвер bcm4389
CVE-2023-21075 A-261857862 * EoP Средний Драйвер bcmdhd
CVE-2023-21076 A-261857623 * EoP Средний Драйвер bcmdhd
CVE-2023-21077 A-257289560 * EoP Средний Драйвер bcm4389
CVE-2023-21078 A-254840211 * EoP Средний Драйвер bcm4389
CVE-2023-21079 A-254839721 * EoP Средний bcm4389
CVE-2023-21039 A-263783650 * ID Средний dumpstate
CVE-2023-21044 A-253425086* ID Средний libvendorgraphicbuffer
CVE-2023-21045 A-259323725 * ID Средний CPIF
CVE-2023-21046 A-253424924 * ID Средний Аппаратно-зависимый уровень камеры
CVE-2023-21047 A-256166866 * ID Средний Аппаратно-зависимый уровень камеры
CVE-2023-21048 A-259304053 * ID Средний Wi-Fi
CVE-2023-21049 A-236688120 * ID Средний Камера
CVE-2023-21053 A-251805610 * ID Средний SMS
CVE-2023-21059 A-247564044 * ID Средний Встроенное ПО для мобильной связи
CVE-2023-21060 A-253770924 * ID Средний SMS
CVE-2023-21061 A-229255400 * DoS Средний Wi-Fi

Компоненты Qualcomm

CVE Ссылки Уровень серьезности Подкомпонент
CVE-2022-25712 A-235113793
QC-CR#3142221 [2]
Средний Камера
CVE-2022-33245 A-245611633
QC-CR#2580147
Средний WLAN

Компоненты Qualcomm с закрытым исходным кодом

CVE Ссылки Уровень серьезности Подкомпонент
CVE-2022-33260 A-245612876 * Средний Компонент с закрытым исходным кодом
CVE-2022-40518 A-261492744 * Средний Компонент с закрытым исходным кодом
CVE-2022-40519 A-261492623 * Средний Компонент с закрытым исходным кодом

Функциональные исправления

Подробную информацию об исправлениях ошибок и улучшениях функциональных возможностей, включенных в этот выпуск, можно найти на справочном форуме Pixel.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

В исправлении 2023-03-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2023-03-01 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom
U- Ссылочный номер UNISOC

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.

5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетенях по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 6 марта 2023 г. Бюллетень опубликован.
1.1 20 марта 2023 г. Обновлен список проблем.